Une vulnérabilité de gravité critique affectant les modules complémentaires et modèles Royal Elementor jusqu’à la version 1.3.78 serait activement exploitée par deux équipes de sécurité WordPress.
Étant donné que l’exploitation a été observée avant que le fournisseur ne publie un correctif, la faille a été exploitée par les pirates informatiques comme un jour zéro.
Royal Elementor Addons and Templates de « WP Royal » est un kit de création de sites Web qui permet la création rapide d’éléments Web sans connaissances en codage. Selon WordPress.org, il y a plus de 200 000 installations actives.
La faille affectant le module complémentaire est identifiée comme CVE-2023-5360 (CVSS v3.1 : 9.8 « critique »), permettant à des attaquants non authentifiés d’effectuer des téléchargements de fichiers arbitraires sur des sites vulnérables.
Bien que le plugin comporte une validation d’extension pour limiter les téléchargements uniquement à des types de fichiers spécifiques et autorisés, les utilisateurs non authentifiés peuvent manipuler la « liste autorisée » pour contourner la désinfection et les vérifications.
Les attaquants peuvent potentiellement réaliser l’exécution de code à distance via cette étape de téléchargement de fichiers, conduisant à une compromission complète du site Web.
Des détails techniques supplémentaires sur la faille ont été cachés pour empêcher une exploitation à grande échelle.
Exploité pour créer des comptes d’administrateur malveillants
Deux sociétés de sécurité WordPress, Clôture de mots et WPScan (Automattic), ont marqué CVE-2023-5360 comme activement exploité depuis le 30 août 2023, le volume d’attaque augmentant à partir du 3 octobre 2023.
Wordfence rapporte avoir bloqué plus de 46 000 attaques ciblant Royal Elementor au cours du mois dernier, tandis que WPScan a enregistré 889 cas d’attaquants abandonnant dix charges utiles distinctes après avoir exploité la faille.
![Les pirates exploitent une faille critique dans le plugin WordPress Royal Elementor 2 Hachages](https://www.bleepstatic.com/images/news/u/1220909/2023/WordPress/17/dropped-files.png)
La plupart des charges utiles utilisées dans ces attaques sont des scripts PHP qui tentent de créer un utilisateur administrateur WordPress nommé « wordpress_administrator » ou qui agissent comme une porte dérobée.
![Les pirates exploitent une faille critique dans le plugin WordPress Royal Elementor 3 PHP malveillant créant un utilisateur administrateur malveillant](https://www.bleepstatic.com/images/news/u/1220909/2023/WordPress/17/ray-so-export-7.png)
WordPress affirme que la majorité des attaques proviennent de seulement deux adresses IP, de sorte que l’exploit peut être connu uniquement d’une poignée d’acteurs malveillants.
Le fournisseur du module complémentaire a été contacté avec tous les détails le 3 octobre et a publié la version 1.3.79 de Royal Elementor Addons and Templates le 6 octobre 2023 pour corriger la faille. Il est recommandé à tous les utilisateurs du module complémentaire de mettre à niveau vers cette version dès que possible.
Si vous n’avez accès à aucune solution de numérisation commerciale, vous pouvez utiliser ceci scanner gratuit pour déterminer la vulnérabilité de votre site Web aux attaques.
Sachez que la mise à jour du module complémentaire vers la version 1.3.79 ne supprimera pas automatiquement les infections ni les fichiers malveillants, un nettoyage du site Web sera donc nécessaire dans de tels cas.